防御规则生成方法、设备及存储介质技术

本申请实施例提供一种防御规则生成方法、设备及存储介质。在本申请实施例中，针对获取的异常报文的应用层数据进行多层次特征提取，得到异常报文的多层次特征；之后，可根据异常报文的多层次特征，生成符合防火墙支持的语法格式的防御规则，并将该防御规则发布至防火墙，以供防火墙利用该防御规则进行网络防护。本申请实施例生成的防御规则包含了基于异常报文的应用层数据挖掘出的异常报文的多层次特征，使得防御规则更为全面，在利用该防御规则进行网络防护时可对待检测报文进行多维度检测，降低网络攻击绕过防御规则的概率，有助于降低网络攻击报文漏检的概率。于降低网络攻击报文漏检的概率。于降低网络攻击报文漏检的概率。

【技术实现步骤摘要】
防御规则生成方法、设备及存储介质


[0001]本申请涉及网络安全
，尤其涉及一种防御规则生成方法、设备及存储介质。

技术介绍

[0002]随着计算机网络的发展和普及，网络上各种黑客、蠕虫等非法网络攻击日益猖獗，为了保护计算机网络和系统，防火墙应运而生。防火墙(Firewall)，可依照特定的规则，允许或限制传输的数据通过。
[0003]防火墙具有一定的网络攻击保护作用，但传统的防火墙针对网络攻击的防御规则比较单一，导致一些攻击流量漏检。

技术实现思路

[0004]本申请的多个方面提供一种防御规则生成方法、设备及存储介质，用以降低攻击流量的漏检率。
[0005]本申请实施例提供一种防御规则生成方法，包括：
[0006]获取异常报文；
[0007]对异常报文的应用层数据进行多层次特征提取，以得到所述异常报文的多层次特征；
[0008]根据所述异常报文的多层次特征和防火墙支持的语法格式，生成具有所述语法格式的防御规则。
[0009]本申请实施例还提供一种计算设备，包括：存储器和处理器；所述存储器，用于存储计算机程序；
[0010]所述处理器耦合至所述存储器，用于执行所述计算机程序以用于执行上述防御规则生成方法中的步骤。
[0011]本申请实施例还提供一种存储有计算机指令的计算机可读存储介质，当所述计算机指令被一个或多个处理器执行时，致使所述一个或多个处理器执行上述防御规则生成方法中的步骤。
[0012]在本申请实施例中，针对获取的异常报文的应用层数据进行多层次特征提取，得到异常报文的多层次特征；之后，可根据异常报文的多层次特征，生成符合防火墙支持的语法格式的防御规则，并将该防御规则发布至防火墙，以供防火墙利用该防御规则进行网络防护。本申请实施例生成的防御规则包含了基于异常报文的应用层数据挖掘出的异常报文的多层次特征，使得防御规则更为全面，在利用该防御规则进行网络防护时可对待检测报文进行多维度检测，降低网络攻击绕过防御规则的概率，有助于降低网络攻击报文漏检的概率。
附图说明
[0013]此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：
[0014]图1为传统方案提供的防御规则生成的流程示意图；
[0015]图2为本申请实施例提供的防御规则生成方法的流程示意图；
[0016]图3为本申请实施例提供的防御规则生成的具体流程示意图；
[0017]图4为本申请实施例提供的计算设备的结构示意图。
具体实施方式
[0018]为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。
[0019]防火墙可按照特定的防御规则，允许或限制传输的数据通过。在传统方案中，可通过提取流量数据的最长公共子序列。最长公共子序列(Longest Common Subsequence，LCS)是在一个序列集合中(通常为两个序列)用来查找所有序列中最长子序列的问题。一个数列X如果分别是两个或多个已知数列的子序列，且是所有符合此条件序列中最长的，则数列X称为已知序列的最长公共子序列。
[0020]进一步，可通过生成器将最长公共子序列，生成符合防火墙支持的语法格式的防御规则；之后，将防御规则用于防火墙进行网络防护。具体地，图1为传统方案提供的防御规则生成的流程示意图。如图1所示，传统方案提供的防御规则生成的主要步骤如下：
[0021]101、获取线下收集的攻击报文。其中，攻击报文是指预先标注的用于网络攻击的报文。
[0022]102、按照设定的报文聚类算法，对攻击报文进行聚类处理，以得到多个报文簇。每个报文簇至少包括一个攻击报文。
[0023]其中，报文聚类算法可包括：基于树结构的报文分类算法、基于几何空间的报文分类算法或启发式报文分类算法等。
[0024]103、针对每个报文簇，提取每个报文簇中攻击报文的最长公共子序列。
[0025]104、根据每个报文簇中攻击报文的最长公共子序列，生成符合防火墙支持的语法格式的防御规则。
[0026]基于上述传统方案生成的防御规则，在网络安全防护时，可通过多模匹配方式将待检测报文与防御规则包含的最长公共子序列进行匹配；若待检测报文中存在与防御规则包含的最长公共子序列相匹配的关键特征，则限制待检测报文通过。若待检测报文中不存在与防御规则包含的最长公共子序列相匹配的关键特征，则允许待检测报文通过。但是，本申请专利技术人研究发现，一些网络攻击报文的关键特征并非是防御规则包含的公共子序列，会导致传统方案生成的防御规则无法对此类网络攻击报文进行拦截，造成攻击流量的漏检。
[0027]针对上述传统方案存在的技术问题，本申请一些实施例，为了降低攻击流量漏检的概率，针对获取的异常报文的应用层数据进行多层次特征提取，得到异常报文的多层次
特征；之后，可根据异常报文的多层次特征，生成符合防火墙支持的语法格式的防御规则，并将该防御规则发布至防火墙，以供防火墙利用该防御规则进行网络防护。本申请实施例生成的防御规则包含了基于异常报文的应用层数据挖掘出的异常报文的多层次特征，使得防御规则更为全面，在利用该防御规则进行网络防护时可对待检测报文进行多维度检测，降低网络攻击绕过防御规则的概率，有助于降低网络攻击报文漏检的概率。
[0028]以下结合附图，详细说明本申请各实施例提供的技术方案。
[0029]应注意到：相同的标号在下面的附图以及实施例中表示同一物体，因此，一旦某一物体在一个附图或实施例中被定义，则在随后的附图和实施例中不需要对其进行进一步讨论。
[0030]图2为本申请实施例提供的防御规则生成方法的流程示意图。如图2所示，该方法主要包括以下步骤：
[0031]201、获取异常报文。
[0032]202、对异常报文的应用层数据进行多层次特征提取，以得到异常报文的多层次特征。
[0033]203、根据异常报文的多层次特征和防火墙支持的语法格式，生成具有语法格式的防御规则。
[0034]由于异常报文在一定程度上可反映网络攻击报文的特征，因此，在步骤201中，可获取异常报文。在本申请实施例中，不限定获取异常报文的具体实施方式。
[0035]在一些实施例中，可离线采用本申请实施例提供的防御规则生成方法，生成防御规则。相应地，可获取线下收集的异常报文，作为步骤201中的异常报文。其中，线下收集的异常报文可能是由人工标注的异常报文，也可为已有防火墙拦截的报文等，但不限于此。对于离线生成防御规则的实施例，异常报文可为攻击报文。本申请实施例中，防火墙可为云防火墙，也可为部本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种防御规则生成方法，其特征在于，包括：获取异常报文；对异常报文的应用层数据进行多层次的特征提取，以得到所述异常报文的多层次特征；根据所述异常报文的多层次特征和防火墙支持的语法格式，生成具有所述语法格式的防御规则。2.根据权利要求1所述的方法，其特征在于，所述对异常报文的应用层数据进行多层次特征提取，以得到所述异常报文的多层次特征，包括以下至少两种特征提取方式：从所述异常报文中，提取所述异常报文的元数据，作为所述多层次特征之一；确定所述异常报文的协议类型，作为所述多层次特征之一；按照所述异常报文的协议类型，采用所述协议类型适配的解析方式对所述异常报文进行协议解析，以得到所述异常报文的有效载荷；根据所述有效载荷，确定所述有效载荷的结构模式，作为所述多层次特征之一；对所述有效载荷进行解码，以得到所述有效载荷封装的应用数据；所述有效载荷包括所述应用数据的编码字符；根据所述应用数据，确定所述异常报文对应的漏洞类型，作为所述多层次特征之一。3.根据权利要求2所述的方法，其特征在于，所述根据所述有效载荷，确定所述有效载荷的结构模式，包括：从所述有效载荷中，提取所述应用数据对应的编码字符；根据所述应用数据对应的编码字符的属性分布特征，确定所述有效载荷的结构模式。4.根据权利要求3所述的方法，其特征在于，还包括：从所述异常报文中，获取所述有效载荷封装的应用数据的文件格式；从预设的多种文件格式分别对应的多个无效字符识别模型中，获取所述应用数据的文件格式对应的目标无效字符识别模型；所述从所述有效载荷中，提取所述应用数据对应的编码字符，包括：利用所述目标无效字符识别模型，识别所述有效载荷对应的编码字符包含的无效字符；从所述有效载荷对应的编码字符中剔除所述无效字符，以得到所述应用数据对应的编码字符。5.根据权利要求3所述的方法，其特征在于，所述根据所述应用数据对应的编码字符的属性分布特征，确定所述有效载荷的结构模式，包括：判断所述应用数据对应的编码字符的属性分布特征，是否满足键值对结构的分布特征；若满足，则确定所述有效载荷的结构模式为键值对模式。6.根据权利要求2所述的方法，其特征在于，所述对所述有效载荷进行解码，以得到所述有效载荷封装的应用数据，包括：从所述有效载荷中，提取所述应用数据对应的编码字符；根据所述有效载荷的结构模式，从所述应用数据对应的编码字符中获取目标编码字符；所述目标编码字符包括：所述应用数据对应的编码字符中的部分编码字符；
对所述目标编码字符进行解码，以得到目标编码字符对应的目标应用数据；所述目标应用数据包括所述应用数据的部分数据。7.根据权利要求6所述的方法，其特征在于，所述有效载荷的结构模式为键值对模式，所述根据所述有效载荷的结构模式，从所述应用数据对应的编码字符中获取目标编码字符，包括：从所述应用数据对应的编码字符中，提取所述应用数据包含的键值...

【专利技术属性】
技术研发人员：吴年京，
申请(专利权)人：阿里云计算有限公司，
类型：发明
国别省市：